Zyxel USG FLEX série H [Pare-feu] - Comment bloquer les sites Web HTTPS à l'aide du filtrage de contenu et de l'inspection SSL

Ce guide montre comment bloquer efficacement les sites Web HTTPS à l'aide de la série Zyxel USG FLEX H en tirant parti du filtrage de contenu, de l'inspection SSL et des règles de politique de sécurité. Cette approche cible les contenus malveillants ou non liés à l'activité de l'entreprise (par exemple, les médias en continu, les médias sociaux, etc.)

Remarque : cet article utilise toutes les adresses IP et tous les masques de sous-réseau à titre d'exemple. Veuillez les remplacer par les adresses IP et les masques de sous-réseau de votre réseau. Cet exemple a été testé avec l'USG FLEX 500H (version du micrologiciel : uOS 1.32).

Configurer le filtrage de contenu

Créez un nouveau profil, activez le journal pour les actions de blocage et choisissez les catégories à bloquer (par exemple, "Streaming Media").

• Naviguez vers : Service de sécurité > Filtrage de contenu
• Cliquez sur Ajouter pour créer un profil de filtrage de contenu dans la gestion des profils.
• Saisissez le nom du profil et activez le journal pour l'action de blocage dans les paramètres généraux.
• Cochez la catégorie Streaming Media dans Managed Categories (Catégories gérées) et cliquez sur Apply (Appliquer).

Une fois le profil créé, il doit être lié à la politique de sécurité appropriée. Sans cette étape, le profil ne sera pas activé et n'aura pas d'impact sur la sécurité du système. Mais nous le ferons plus tard, après avoir configuré le profil de l'inspecteur SSL. Cliquez sur "Ok" et passez au point suivant.

Configurer l'inspection SSL

Allez dans Service de sécurité > Inspection SSL > Profil > Gestion des profils, et cliquez sur Ajouter pour créer un profil.

• Utilisez un certificat CA personnalisé - bien que nous utilisions le certificat par défaut dans notre exemple, il est recommandé de l'utiliser (de préférence signé en interne ou par une CA interne de confiance). Évitez d'utiliser le certificat par défaut en production.
• Définissez la version minimale de TLS sur TLS 1.2, à moins que les systèmes existants ne requièrent des versions plus anciennes.
• Activez la journalisation - enregistrez toujours le trafic inspecté et les exceptions à des fins de visibilité et de dépannage.

Supplément non pris en charge

• Changez l 'action pour bloquer, si possible, afin d'empêcher l'utilisation d'un algorithme de chiffrement non sécurisé ou obsolète.
• Activez la journalisation pour surveiller ce qui est contourné et procéder ultérieurement à des ajustements en connaissance de cause.

Chaînes de certificats non fiables

• Changer l'action en blocage - L'autorisation de certificats non fiables peut laisser passer du trafic malveillant.
• Activez la journalisation pour bénéficier d'une visibilité totale sur les tentatives de connexions non approuvées.

Autres conseils importants

• Distribuez le certificat de l'autorité de certification à tous les appareils clients et installez-le sous "Autorités de certification racine de confiance" pour éviter les avertissements SSL.
• Exclure les applications sensibles (par exemple, les services bancaires, les services gouvernementaux, etc.) à l'aide de la liste "Ne pas inspecter", car l'inspection SSL peut briser leur fonctionnalité ou violer la conformité.
• Surveillez régulièrement les journaux et les statistiques SSL sous Statistiques de sécurité > Inspection SSL.
• Maintenir le micrologiciel à jour pour bénéficier des améliorations de performance et de sécurité liées à l'inspection SSL.
• Éviter d'inspecter le trafic interne (par exemple, de réseau local à réseau local), à moins que cela ne soit spécifiquement nécessaire.

Configurer la politique de sécurité

Après avoir créé le profil, il faut le lier à la politique de sécurité appropriée. Sans cette étape, le profil ne sera pas activé et n'aura aucun impact sur la sécurité du système.

• Allez dans Politique de sécurité > Contrôle de la politique. Modifiez LAN_Outgoing et descendez jusqu'à la section du profil.
• Sélectionnez Filtrage de contenu et Inspection SSL. Cliquez sur Appliquer pour sauvegarder.

Exporter et installer un certificat

Lorsque l'inspection SSL est activée sur le Zyxel USG FLEX H Series et qu'un site Web ne reconnaît pas ou ne fait pas confiance au certificat par défaut de l'appareil, les navigateurs Web affichent un avertissement de sécurité indiquant des problèmes de certificat.

Pour éviter cela, vous devez exporter le certificat par défaut du dispositif FLEX et l'installer sur les machines clientes (par exemple, Windows OS) en tant que certificat racine de confiance.

Allez dans Système > Certificat > Mes certificats pour exporter le certificat par défaut de l'USG FLEX H.

Installation du certificat

Après avoir téléchargé le fichier de certificat (par exemple, default.crt), double-cliquez dessus.

• Dans la fenêtre du certificat, cliquez sur "Ouvrir".
• Dans la fenêtre du certificat, cliquez sur "Installer le certificat...".

• Dans l'assistant d'importation de certificat, choisissez :

Dans l'assistant d'importation de certificats, choisissez :

• "Utilisateur actuel" - si vous installez le certificat uniquement pour votre compte d'utilisateur (aucun droit d'administrateur n'est requis dans la plupart des cas).
• "Machine locale" - si le certificat doit s'appliquer à tous les utilisateurs de l'ordinateur (droits d'administrateur requis).

Sélectionnez "Placer tous les certificats dans le magasin suivant" sur l'écran suivant.

Cliquez sur "Parcourir", puis choisissez "Autorités de certification racine de confiance".

Complétez l'assistant et confirmez l'installation.

Remarque : une fois le certificat installé, les navigateurs feront confiance à l'appareil FLEX lors de l'inspection SSL et les avertissements de sécurité n'apparaîtront plus pour le trafic HTTPS.

Tester le résultat

Utilisez un navigateur Web pour accéder à YouTube. La passerelle vous redirige vers une page bloquée.

Allez dans Log & Report > Log/Events et sélectionnez Content Filtering (Filtrage de contenu) pour vérifier les journaux.